Ouvrir le menu principal

MacGeneration

Recherche

Zoom retire son serveur web local, mais il n'était pas le seul

Nicolas Furno

mercredi 10 juillet 2019 à 08:06 • 19

Logiciels

Face à la polémique (lire : Le client macOS de Zoom peut activer la webcam de votre Mac sans votre accord), le service de visioconférence professionnelle Zoom a finalement cédé. Une mise à jour diffusée dans la nuit désactive totalement le serveur web en local installé sur macOS, celui-là même qui permettait de lancer une réunion de visioconférence sans aucune interaction de la part de l’utilisateur. Ce serveur local, encore, qui n’était pas supprimé quand l’app était désinstallée, qui fonctionnait en arrière-plan et qui réinstallait Zoom à chaque fois que l’utilisateur cliquait sur le lien d’une réunion.

L’iSight, webcam d’Apple commercialisée dans les années 2000. (Photo Quattro Vageena (CC BY-NC-ND 2.0))

Si vous aviez installé Zoom et que vous n’aviez pas supprimé le serveur en suivant les instructions données hier, vous pouvez ouvrir l’app et la mettre à jour. La nouvelle version se chargera de faire le ménage et de supprimer ce serveur local. L’entreprise a aussi ajouté un bouton pour désinstaller Zoom qui enlèvera toutes ses ressources, sans exception. Jusque-là, des éléments devaient être manuellement supprimés pour se débarrasser totalement de l’app.

Tout est bien qui finit bien pour Zoom, mais la polémique révèle que cette app était loin d’être une exception. Cette pratique qui consiste à installer un serveur local pour contourner des limites imposées par le navigateur est en fait assez courante, comme le rappelle un autre chercheur en sécurité. Kevin Beaumont liste sur Twitter d’autres apps de visioconférence qui ont utilisé la même astuce. Il cite notamment RingCentral, qui est en fait identique à Zoom sur le plan technique, et BlueJeans.

La technique dépasse même le cadre de la visioconférence. Depuis que les navigateurs ont abandonné NPAPI, une API créée dans les années 1990 pour permettre à un navigateur de charger un module tiers pour lire un contenu, plusieurs services et apps ont opté pour un serveur web local. On ne connaît probablement pas tous ceux qui l’ont fait, mais cette liste de trois noms donne une idée de l’étendue du problème. Un client Torrent, un antivirus ou même Logitech utilisent cette technique.

En soi, faire tourner un serveur local sur un Mac n’est pas un problème. Le souci, c’est que ces apps utilisent ce serveur pour contourner les mesures de sécurité légitimes des navigateurs. Pour faire simple, cela leur permet de demander au navigateur d’ouvrir une URL standard, comme s’il s’agissait d’un site web, plutôt que de lui demander d’ouvrir une app. Le navigateur n’y voit que du feu, mais c’est une faille de sécurité potentielle, une app installée sur un Mac ayant un pouvoir de nuisance bien supérieur à un site.

Face à cette mauvaise publicité, on peut imaginer que Google, Apple ou encore Mozilla vont réagir en ajoutant des restrictions supplémentaires dans leurs navigateurs respectifs. En attendant, il n’y a pas grand-chose que l’on peut faire contre cette pratique.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Nvidia pourrait faire son retour dans les PC sous Windows ARM cette année

21:45

• 0


Zuckerberg : de la masculinité à la censure en passant par Apple, le patron de Meta se lâche

20:30

• 0


WaterField emmène le Mac mini M4 en balade

17:45

• 23


Adobe Photoshop s’ouvre à la collaboration en temps réel

16:15

• 2


Apple vérifie les premières puces « made in America » par TSMC

15:15

• 17


Optimisez votre productivité cette nouvelle année avec Office sur Windows ou Mac à partir de 15€ sur Godeal24 📍

12:47


L’offre Free Pro accueille une nouvelle Freebox Pro plus puissante

12:17

• 37


Google Drive gère enfin la synchronisation différentielle sur Mac et PC

09:55

• 24


Promo : 150 € de remise sur les MacBook Pro M4

13/01/2025 à 21:57

• 2


Un SSD externe USB4 chez Corsair : 4 Go/s et MagSafe

13/01/2025 à 20:00

• 3


App Store : nouveau recours collectif contre Apple au Royaume-Uni pour abus de position dominante

13/01/2025 à 17:45

• 44


Apple TV+ est accessible depuis la TV d'Orange sur les Livebox

13/01/2025 à 17:05


Des bons à 4 € pour compenser l'empreinte carbone des cartes Raspberry Pi

13/01/2025 à 15:45

• 31


Les puissants routeurs Wi-Fi 7 de Netgear sont un peu moins chers pendant les soldes

13/01/2025 à 14:30

• 11


Les questions sociétales au menu de la prochaine assemblée des actionnaires d'Apple

13/01/2025 à 12:00

• 34


Club iGen : posez-nous vous question sur MacG, réponses en direct à 14 h 30 aujourd'hui ! 🆕

13/01/2025 à 11:11

• 28